第7章 RHEL Image Builder OpenSCAP 統合によるハードニング済みイメージの作成
オンプレミスの RHEL Image Builder は OpenSCAP 統合をサポートしています。この統合により、ハードニング済みの RHEL イメージの作成が可能になります。ブループリントを設定すると、次のアクションを実行できます。
- 事前定義されたセキュリティープロファイルのセットを使用したカスタマイズ
- パッケージまたはアドオンファイルのセットの追加
- 環境により適した、選択したプラットフォームにデプロイ可能なカスタム RHEL イメージのビルド
Red Hat は、現在のデプロイメントガイドラインを満たすことができるように、システムを構築するときに選択できるセキュリティーハードニングプロファイルの定期的に更新されたバージョンを提供します。
7.1. キックスタートイメージと事前硬化イメージの違い
キックスタートファイルを使用した従来のイメージ作成では、インストールする必要があるパッケージを選択し、システムが脆弱性の影響を受けないようにする必要があります。RHEL Image Builder OpenSCAP 統合により、セキュリティーが強化されたイメージをビルドできます。イメージのビルドプロセス中に、OSBuild oscap.remediation stage
が、ファイルシステムツリー上で chroot で OpenSCAP
ツールを実行します。OpenSCAP
ツールは、選択したプロファイルの標準評価を実行し、修復をイメージに適用します。これにより、イメージを初めて起動する前でも、セキュリティープロファイルの要件に従って設定されたイメージをビルドできます。